隐藏在众目睽睽之下。为什么SolarWinds攻击事件揭示的不仅仅是恶意的网络风险
这篇文章的一个版本出现在 黑暗阅读.它已被更新并在此转发。
如果说有什么东西能毁掉网络安全行业的圣诞节,那就是一个毁灭性的数据泄露事件,它将成为有记录以来影响美国政府的最大网络间谍事件。
SolarWinds的攻击影响深远,威胁者早在2019年年中就已初步攻破该软件。这个长达数月的抢劫案在2020年12月被发现,因为它被用来渗透到著名的网络安全公司FireEye,噩梦从此揭开。该漏洞的全部范围仍在调查中,但关键的渗透领域包括美国国务院、国土安全部、商务部和财政部,此外还有国家卫生研究院。
这一事件将产生持续的余震,但它的复杂性令人着迷。在技术层面上,这是一个涉及定制恶意工具、后门和隐蔽代码的多层渗透,远远超出了我们经常看到的利用更明显错误的脚本小子的技能。
最糟糕的洗钱行为
CrowdStrike在逆向工程利用方面做了更多的天才工作,并详细说明了调查结果供大家参考。现在已经发现,SolarWinds是一个基础设施漏洞的受害者,允许恶意代码注入系统更新,导致至少四个独立的恶意软件工具为威胁者打开了前所未有的访问。
该方法是隐蔽的,可以实现战略上的精确性,似乎直接来自于杰森-伯恩的小说。它为嗅探、计划和打击SolarWinds网络外的受害者赢得了时间,而这正是他们想要的,是一次全面的供应链攻击。而且,这一切都是用看起来完全良性的代码进行的。
网络攻击往往是由简单但代价高昂的错误造成的。一旦被发现,这些错误是相当明显的;想想看,一个配置不良的网络,以明文存储的密码,或未打补丁的软件,容易受到已知漏洞的攻击。在这种情况下,这些代码一点也不显眼,而且不仅仅是对开发人员和安全工程师而言。各种昂贵、复杂的安全技术也未能发现它。
安全监测和渗透测试工具几乎失去了作用
安全专业人员往往像摇晃的马粪一样稀少,所以他们在寻求保护大量的公司数据、软件和基础设施的过程中,得到了根据企业安全需求定制的技术栈的帮助。这通常采取的形式是网络防火墙、自动渗透测试、监控和扫描工具等组件,后者在软件开发过程中占用了大量时间。这种工具可以迅速螺旋式上升,变得难以管理和执行,许多公司使用的不同产品和服务多达300种以上。
SolarWinds將擁有一系列令人瞠目結舌的工具,以發現和突出代碼中的安全漏洞、試圖未經授權的網絡訪問、基礎設施的任何部分的潛在損害,甚至發現逃避檢測的跡象。这些威胁者能够注入即使是最先进的安全堆栈也无法发现的恶意代码,这是前所未有的。
基础设施加固--尤其是访问控制--是一般网络安全最佳实践的基本组成部分,但如果攻击者能够悄悄地利用一个微小的机会窗口,那么网络就会像独立软件中的漏洞一样被破坏。
这个漏洞提醒我们,一般来说,任何严重依赖工具来保护其网络基础设施和软件的公司都在承担巨大的风险。仅仅保护代码是不够的,所有存储、运行和编译代码的东西都必须同样地加强保护。理想的状态是工具和人员的平衡,执行一个强大的战略,深入评估和减少潜在的攻击面。
跨团队的安全意识使威胁建模更加完善
SolarWinds的漏洞已经开始对安全操作产生重大影响,特别是在政府层面。专家们吹捧说,这可能永远重塑网络安全实践。
越来越多的数字基础设施为我们的生活提供动力,而如果不进行细致的管理,它可能容易受到攻击,我们的总体战略是有缺陷的。当涉及到安全专业知识时,我们的人员严重不足,但我们并没有做很多事情来弥补这一差距。以人为本的安全意识是网络安全的一个未被充分利用的因素,正如把预防--而不是反应--作为优先事项一样。
基础设施安全是一项复杂的工作,有许多移动的部分,但是,类似于他们在软件创建中的定位,如果得到适当的培训和安全意识,开发人员可以成为减少结构性风险的资产。
威胁建模很少考虑到供应链攻击,尽管这种类型的攻击早在2012年就被强调为一种关键风险,以目前的技术很难预防,这让许多公司准备不足。软件开发人员绝对可以在预防方面发挥作用,首先要确保他们的技能得到提高,能够从内到外评估他们的代码完整性。他们是否安全地建立了更新机制?软件在运行时是否有不必要的连接,从而更容易被恶意破坏?
当安全成为软件质量的同义词时,我们很容易看到一个有安全意识的工程师所能带来的巨大价值。
马蒂亚斯-马杜博士
马蒂亚斯是一名研究员和开发人员,拥有超过15年的软件安全实践经验。他曾为Fortify Software和他自己的公司Sensei Security等公司开发解决方案。在他的职业生涯中,马蒂亚斯领导了多个应用安全研究项目,并将其转化为商业产品,他拥有超过10项专利。当他离开办公桌时,Matias曾担任高级应用安全培训courses ,并定期在全球会议上发言,包括RSA会议、黑帽、DefCon、BSIMM、OWASP AppSec和BruCon。
马蒂亚斯拥有根特大学的计算机工程博士学位,在那里他研究了通过程序混淆来隐藏应用程序的内部工作的应用安全。
在博客上深入了解我们最新的安全编码见解。
我们广泛的资源库旨在增强人类对安全编码技术提升的方法。
获取关于开发者驱动的安全的最新研究
我们广泛的资源库充满了有用的资源,从白皮书到网络研讨会,让你开始使用开发者驱动的安全编码。现在就去探索它。
隐藏在众目睽睽之下。为什么SolarWinds攻击事件揭示的不仅仅是恶意的网络风险
这篇文章的一个版本出现在 黑暗阅读.它已被更新并在此转发。
如果说有什么东西能毁掉网络安全行业的圣诞节,那就是一个毁灭性的数据泄露事件,它将成为有记录以来影响美国政府的最大网络间谍事件。
SolarWinds的攻击影响深远,威胁者早在2019年年中就已初步攻破该软件。这个长达数月的抢劫案在2020年12月被发现,因为它被用来渗透到著名的网络安全公司FireEye,噩梦从此揭开。该漏洞的全部范围仍在调查中,但关键的渗透领域包括美国国务院、国土安全部、商务部和财政部,此外还有国家卫生研究院。
这一事件将产生持续的余震,但它的复杂性令人着迷。在技术层面上,这是一个涉及定制恶意工具、后门和隐蔽代码的多层渗透,远远超出了我们经常看到的利用更明显错误的脚本小子的技能。
最糟糕的洗钱行为
CrowdStrike在逆向工程利用方面做了更多的天才工作,并详细说明了调查结果供大家参考。现在已经发现,SolarWinds是一个基础设施漏洞的受害者,允许恶意代码注入系统更新,导致至少四个独立的恶意软件工具为威胁者打开了前所未有的访问。
该方法是隐蔽的,可以实现战略上的精确性,似乎直接来自于杰森-伯恩的小说。它为嗅探、计划和打击SolarWinds网络外的受害者赢得了时间,而这正是他们想要的,是一次全面的供应链攻击。而且,这一切都是用看起来完全良性的代码进行的。
网络攻击往往是由简单但代价高昂的错误造成的。一旦被发现,这些错误是相当明显的;想想看,一个配置不良的网络,以明文存储的密码,或未打补丁的软件,容易受到已知漏洞的攻击。在这种情况下,这些代码一点也不显眼,而且不仅仅是对开发人员和安全工程师而言。各种昂贵、复杂的安全技术也未能发现它。
安全监测和渗透测试工具几乎失去了作用
安全专业人员往往像摇晃的马粪一样稀少,所以他们在寻求保护大量的公司数据、软件和基础设施的过程中,得到了根据企业安全需求定制的技术栈的帮助。这通常采取的形式是网络防火墙、自动渗透测试、监控和扫描工具等组件,后者在软件开发过程中占用了大量时间。这种工具可以迅速螺旋式上升,变得难以管理和执行,许多公司使用的不同产品和服务多达300种以上。
SolarWinds將擁有一系列令人瞠目結舌的工具,以發現和突出代碼中的安全漏洞、試圖未經授權的網絡訪問、基礎設施的任何部分的潛在損害,甚至發現逃避檢測的跡象。这些威胁者能够注入即使是最先进的安全堆栈也无法发现的恶意代码,这是前所未有的。
基础设施加固--尤其是访问控制--是一般网络安全最佳实践的基本组成部分,但如果攻击者能够悄悄地利用一个微小的机会窗口,那么网络就会像独立软件中的漏洞一样被破坏。
这个漏洞提醒我们,一般来说,任何严重依赖工具来保护其网络基础设施和软件的公司都在承担巨大的风险。仅仅保护代码是不够的,所有存储、运行和编译代码的东西都必须同样地加强保护。理想的状态是工具和人员的平衡,执行一个强大的战略,深入评估和减少潜在的攻击面。
跨团队的安全意识使威胁建模更加完善
SolarWinds的漏洞已经开始对安全操作产生重大影响,特别是在政府层面。专家们吹捧说,这可能永远重塑网络安全实践。
越来越多的数字基础设施为我们的生活提供动力,而如果不进行细致的管理,它可能容易受到攻击,我们的总体战略是有缺陷的。当涉及到安全专业知识时,我们的人员严重不足,但我们并没有做很多事情来弥补这一差距。以人为本的安全意识是网络安全的一个未被充分利用的因素,正如把预防--而不是反应--作为优先事项一样。
基础设施安全是一项复杂的工作,有许多移动的部分,但是,类似于他们在软件创建中的定位,如果得到适当的培训和安全意识,开发人员可以成为减少结构性风险的资产。
威胁建模很少考虑到供应链攻击,尽管这种类型的攻击早在2012年就被强调为一种关键风险,以目前的技术很难预防,这让许多公司准备不足。软件开发人员绝对可以在预防方面发挥作用,首先要确保他们的技能得到提高,能够从内到外评估他们的代码完整性。他们是否安全地建立了更新机制?软件在运行时是否有不必要的连接,从而更容易被恶意破坏?
当安全成为软件质量的同义词时,我们很容易看到一个有安全意识的工程师所能带来的巨大价值。
